¿Por qué ha realizado el BCE una prueba de resistencia sobre ciberresiliencia?
El BCE realiza anualmente pruebas de resistencia supervisoras de conformidad con el artículo 100 de la Directiva de Requisitos de Capital y participa cada dos años en una prueba de resistencia a escala de la UE coordinada por la Autoridad Bancaria Europea (ABE). Los años en los que no se realiza una prueba de resistencia a escala de la UE de la ABE, el BCE lleva a cabo una prueba de resistencia centrada en un tipo específico de riesgo. Estos ejercicios se realizan en cooperación con las autoridades nacionales de supervisión.
En los últimos años, los ciberataques han aumentado significativamente y las entidades de crédito están muy expuestas a estas ciberamenazas en constante evolución. En el contexto de las prioridades supervisoras para 2024-2026, el BCE pide a las entidades supervisadas que sigan avanzando en su transformación digital y en la creación de marcos de resiliencia operativa sólidos para que estén preparadas para hacer frente a los ciberataques y puedan recuperarse con rapidez en caso de que se produzca un ciberincidente grave.
¿Qué escenario se utilizó en la prueba de resistencia?
En el escenario, se eludían o fallaban las medidas preventivas y de protección y un ciberataque alteraba con éxito las operaciones diarias de las entidades. Las entidades pusieron a prueba sus medidas de respuesta y recuperación, lo que incluyó la activación de procedimientos de emergencia y planes de contingencia y el restablecimiento de su actividad normal. Los supervisores evaluaron después la manera en que las entidades lograron hacer frente a este escenario. Por tanto, el ejercicio evaluó la respuesta y recuperación de las entidades de crédito frente a un ciberataque, en lugar de analizar su capacidad para evitarlo.
¿Qué tipo de información presentaron al BCE las entidades de crédito?
Se aplicaron dos niveles de evaluación: un nivel estándar y un nivel ampliado con requisitos adicionales. Se pidió a las 81 entidades que participaron en la evaluación estándar que respondieran a un cuestionario y aportaran evidencia al respecto, como las notificaciones de ciberincidentes del MUS, documentos predefinidos como políticas y procedimientos internos relacionados con el riesgo de TIC, y los resultados de pruebas de recuperación de TI anteriores basadas en un escenario similar al de la prueba de resistencia sobre ciberresiliencia del MUS de 2024. Además de presentar esta documentación, las 28 entidades que participaron en la evaluación ampliada también llevaron a cabo una prueba de recuperación de TI real en línea con el escenario de la prueba de resistencia sobre ciberresiliencia del MUS de 2024 y proporcionaron evidencia sobre el éxito de la recuperación. Estas entidades también fueron recibieron una visita in situ en la que se realizaron controles de calidad adicionales.
¿Cómo seleccionó a las entidades para la evaluación ampliada?
La muestra de la evaluación ampliada abarca distintos modelos de negocio y países para ofrecer un reflejo representativo del sistema bancario de la zona del euro. La selección de la muestra no se basó en consideraciones relativas al perfil de ciberriesgo de las entidades participantes.
¿Cómo utilizará el BCE la información obtenida del ejercicio?
El ejercicio fue predominantemente cualitativo. La información obtenida durante el ejercicio se tendrá en cuenta para el proceso de revisión y evaluación supervisora más amplio de 2024. Al finalizar del ejercicio, cada entidad recibió un informe específico con recomendaciones de mejora, que serán objeto de seguimiento por los equipos conjuntos de supervisión en el marco de su actividad supervisora periódica. Dado que no se trató de una prueba de resistencia centrada en el capital, sus resultados no tendrán impacto en la recomendación de Pilar 2 de las entidades.